Страница 1 из 4 1234 Последняя
Показано с 1 по 20 из 61.

Опасный SpyWare Spy.WinAd

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Опасный SpyWare Spy.WinAd

    По моей статистике существенно участились случаи заражения компьютеров SpyWare программой, которая по моей классификации называется Spy.Winad (в лаборатории Касперского один из модулей классифицировали как Trojan.Win32.Winad.a, но затем его новые разновидности стали фигурировать у них как AdvWare.WinAd).
    Проявлением Spy.Winad является появление в памяти двух посторониих процессов, причем с опцией "неубиваемости" - при удалении процесс немедленно перезапускается. Инсталлируется он как ActiveX компонента из архива с именем bridge-c*.cab, где на месте * - порядковый номер. Одним из источников является сайт windupdates.com.
    WinAd опасен тем, что кроме Spy/AdvWare деятельности у него есть деструктивное проявление - он удаляет autoexec.nt (или autoexec.bat в win9.
    Все известные мне версии заложены в базы AVZ. Для ручного поиска нужно искать файлы с именами winad.exe, winadx.dll, winadx.inf, clientcom.dll, winclt.exe, syncroad.exe, winsync.exe, ccomm.dll и архивы с именем bridge-c*.cab.
    Кроме того, Spy.WinAd создает CLSID 15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6 в реестре

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763

    Re:Опасный SpyWare Spy.WinAd

    Спасибо. Переслал также в эхоконференцию fidonet ADINF.SUPPORT (об adinf, drweb).

    ( http://fido-online.com/x/_-0?Msg?z7dhvH&1618&6790&130 )

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763

    Re:Опасный SpyWare Spy.WinAd

    Спасибо. Переслал также в эхоконференцию fidonet ADINF.SUPPORT (об adinf, drweb).
    Народ отозвался:
    From: Andrey Melnikoff <temnota+news(ats)kmv.ru>

    > Проявлением Spy.Winad является появление в памяти двух
    > посторониих процессов, причем с опцией "неубиваемости" - при
    > удалении процесс немедленно перезапускается.
    Касперский 4.5 героически умирает, при попытке их прибить. Лучше всего - берем far 170b5 идем в process list, выделяем (!sic) ненужные процессы и давим F8. Помогает на ура.

    Обычно живет в Program Files\Winad_Client\ с именами:
    ClientCom.dll,WinClt.exe,Winad.exe

  5. #4
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    76

    Re:Опасный SpyWare Spy.WinAd

    каспером 5.0 сносится на ура...

    и судя по всему этот АД распространяется через лсасс т.к друг купил комп и через 3 часа после установки виндовса он меня уже просил посмотреть в чем дело
    дело оказалос в 43 вирусах которые разными путями попали к нему

  6. #5
    Guest

    Re:Опасный SpyWare Spy.WinAd

    Цитата Сообщение от Sanja
    каспером 5.0 сносится на ура...
    Щас, у меня Каспер 5.0.142 свежеобновленный, я ему скармливаю winad.exe, а он - 0 вирусов! Я отправляю файл на сайт касперов, а он - вредоносного кода нет, точно хотите послать? Короче, Каспер меня разочаровал :-(

  7. #6
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    76

    Re:Опасный SpyWare Spy.WinAd

    расширенные базы поставь

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Опасный SpyWare Spy.WinAd

    Цитата Сообщение от BigTurtle
    Щас, у меня Каспер 5.0.142 свежеобновленный, я ему скармливаю winad.exe, а он - 0 вирусов! Я отправляю файл на сайт касперов, а он - вредоносного кода нет, точно хотите послать? Короче, Каспер меня разочаровал :-(
    Касперский действительно не ловит SpyWare/AdvWare с обычной базой. Для загрузки расширенных нужно использовать URL типа этого - http://updates1.kaspersky-labs.com/updates_x (в хвост добавив "_x"). Но с расширенной базой нужно работать очень осторожно - в категории RiskWare очень много полезных программб поэтому "лечение" расширенной базой компьютера может угробить массу приложений. Кроме того, у Касперского нет категории SpyWare - этот самый WinAd идет как not-a-virus.AdvWare.WinAd

  9. #8
    Visiting Helper Репутация
    Регистрация
    20.09.2004
    Сообщений
    187
    Вес репутации
    73

    Re:Опасный SpyWare Spy.WinAd

    Новые названия:
    1. C:\Program Files\Win Comm
    Wincomm.exe, Winlock.exe, Windat.dll
    2. C:\Program Files\Windows AdTools
    WinAdTools.exe, WinRatchet.exe, WinWrench.dll

    Ответ ДрВеба:
    это все Adware-программы. Удаляются стандартными средствами ОС через Add/Remove Programs


  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Опасный SpyWare Spy.WinAd

    Цитата Сообщение от azza
    Ответ ДрВеба: ...
    Аналогично Касперский - категория AdvWare (хотя изначально они включили ее в разряд троянов), причем ловит AVP не все разновидности. Причем как соотнести удаление autoexеc.bat (это же по идее троянская функция), скрытную установку и отсутствие удаление (я реально вычистил WinAd не менее чем с 3 ПК - ни на одном он не был в списке "Установка-удаление программ"), "неубиваемость" за счет использования двух процессов ... но доказать производителю антивиря это нереально - я неоднократно пробовал с нулевым результатом.
    Замечу, что WinAd есть не только под именем Win Comm - я сегодня поймал еще два аналог - сайт-источник то-же, но разные имена процессов и их сигнатуры

  11. #10
    Geser
    Guest

    Re:Опасный SpyWare Spy.WinAd

    Такие вещи лучше отправлять разработчикам ad-aware. Они добавляют всё как положено http://www.lavasofthelp.com/submit/ А ДрВеб даже порнозвонилки добавлять не хотят.

  12. #11
    Visiting Helper Репутация
    Регистрация
    20.09.2004
    Сообщений
    187
    Вес репутации
    73

    Re:Опасный SpyWare Spy.WinAd

    Самое печальное, что вместе с WinAd&#039;овскими файлами я отправил ДрВебу настоящих троянов по Касперу - TrojanDropper.Win32.Delf.z и TrojanClicker.Win32.Delf.r и ещё несколько подозрительных файлов, лезущих в интернет, прилежно заражая комп с приведенной в соседнем топике страницы дважды (вчера и сегодня), чтобы собрать все файлы. Получился архив 3 МБ. Но... Вышеприведенный ответ ДрВеба распространялся и на них.

  13. #12
    Geser
    Guest

    Re:Опасный SpyWare Spy.WinAd

    Цитата Сообщение от azza
    Самое печальное, что вместе с WinAd&#039;овскими файлами я отправил ДрВебу настоящих троянов по Касперу - TrojanDropper.Win32.Delf.z и TrojanClicker.Win32.Delf.r и ещё несколько подозрительных файлов, лезущих в интернет, прилежно заражая комп с приведенной в соседнем топике страницы дважды (вчера и сегодня), чтобы собрать все файлы. Получился архив 3 МБ. Но... Вышеприведенный ответ ДрВеба распространялся и на них.
    Отправь ещё раз только трояны. Кстати, ad-awar-овцы и трояны тоже добавляют. Так что можешь им кинуть весь архив. Если у них нет ограничения на размер файла.

  14. #13
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Опасный SpyWare Spy.WinAd

    Цитата Сообщение от azza
    Самое печальное, что вместе с WinAd&#039;овскими файлами я отправил ДрВебу настоящих троянов по Касперу - TrojanDropper.Win32.Delf.z и TrojanClicker.Win32.Delf.r и ещё несколько подозрительных файлов, лезущих в интернет, прилежно заражая комп с приведенной в соседнем топике страницы дважды (вчера и сегодня), чтобы собрать все файлы. Получился архив 3 МБ. Но... Вышеприведенный ответ ДрВеба распространялся и на них.
    Можешь послать их мне на [email protected] (ограничений на объем там нет) - любопытно посмотреть, что это за зверье - может, что-то новое. Особенно интересны версии WinAd - он "прогрессирует" на глазах, скоро будет как IstBar - по три версии в неделю

  15. #14
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Опасный SpyWare Spy.WinAd

    Ну вот, от azza пришел архив и я его посмотрел. Сразу детектируется
    TrojanDropper.Win32.Delf.z и TrojanClicker.Win32.Delf.r. Плюс куча SpyWare - Spy.Winad новых типов (в папке Program Files\Windows AdTools\ и bridge-c46[2].cab (это ActiveX - его инсталлер) и Program Files\Win Comm\).
    Далее наблюдаются еще два шпиона Spy.BetterInternet, Spy.180Solutions и интересный файлик - ide21201.vxd размером 4 кб. Я уже неоднократно его вычищал с разных ПК, зараженных SpyWare, в лаборатории Касперского по его поводу ничего не сказали ... virustotal по всем позициям говорит "чист". По структуре это "Linear Executable", по флагам заголовка - "Prot. Virt. Dev. Driver", по данным дизассемблера - это драйвер, ведет обмен через некие порты ввода вывода ... зачем он нужен SpyWare - загадка. Могу сбросить его всем, желающим поковырять его дизассемблером

  16. #15
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Опасный SpyWare Spy.WinAd

    Да, WinAd ширится и множится - за три дня я занес в базы AVZ еще три новые его разновидности - B, C, D. Новые разновидности "живут" в папках Win Comm и Windows AdTools

  17. #16
    Guest

    SpyWare - советы и хронология

    Здраствуйте, сегодня я "ознакомился" с этим ненавистным AdTools.
    Сейчас расскажу как это было.
    Итак, я искал какой-то крэк-файл для моего любимого Flash&#039;a,
    и вдруг комп подвис. Ни одна страница не грузится (у меня dial-up),
    а значок с двумя компами непрерывно горит, как будто что-то грузится и
    мешает всему остальному. Я зашел в taskmgr (у меня WinXP), и нашел
    там два странных процесса - WinAdTools.exe и WinRatchet.exe.
    Они не завершаются, а после перезагрузки процессы снова работают.
    Если я удаляю ключ запуска с виндой hklm\software\microsoft\windows\currentversion\run WinAdTools, он появляется снова! Но я быстро снёс его, может мне такая "легкая" версия адтулза попалась, но он стерся сам с помощью "Установка и удаление программ", а дальше я покопался в реестре и вычистил остатки вируса.
    Ещё, если "Установка и..." не помогает, попробуйте загрузится в safe mode
    ,adtools автоматически не запустится и его можно спокойно удалить.
    Папки в которых он сидит я нашел только Program Files\Windows AdTools и
    Windows\Downloaded Program Files, где сидит его CLSID. В реестре просто набирайте "Поиск\AdTools" и сносите все ключи, понаделанные этим гадом.
    После этого я Лавасофтом 6 проверял - ничего нет. Интересно, что это за стремный сайт windupdates.com с которого пришло это?
    И еще, кто-нибудь знает, где мог успеть нагадить AdTools за 5 минут, пока я его удалял?
    Я надеюсь он не спер мои пароли в инет...по крайней мере autoexec.nt у меня в порядке.

    И вообще - совет, если что, сносите всю гадость из реестра или переустанавливайте Windows XP. Разбейте диск на разделы,
    в которых на одном будет операционка и системные проги, а на другом -
    все нужные вам файлы. Если что, форматируйте диск C, а все ваши файлы
    останутся на диске D. НО - НИКОГДА не храните ничего важного в папке
    "Мои документы". После переустановки попасть в них очень сложно из-за ACL под WinXP.

  18. #17
    Guest

    Re:Опасный SpyWare Spy.WinAd

    м-да, хорошо что еще не придумали вируса, который бы скрытно
    менял настройки BIOS&#039;а или программно отключал вентиляторы.
    Потрясающий был бы эффект: CPU Core Voltage на сверхмаксимальное значение и...звиздец компьютеру... :o

  19. #18
    Guest

    Re:Опасный SpyWare Spy.WinAd

    Народ, сегодня зашел на windupdates.com с которого прет эта хрень.
    Я вообще офигел, когда туда попал. Мало того, что вирус там выставлен как какая-нибудь мирная программка для легкого качания баннеров, там еще и лицензионное соглашение прочитать требуют...)))))).
    А если еще его прочесть....
    Там написано, что ВИРУС ЗАЩИЩЕН АВТОРСКИМИ ПРАВАМИ :, и ещё,
    что Я НЕ ИМЕЮ ПРАВА КОПИРОВАТЬ, РАСПРОСТРАНЯТЬ, УСТАНАВЛИВАТЬ WIN AD TOOLS БЕЗ СОГЛАСИЯ, И ИСПОЛЬЗОВАТЬ ВСЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ГАВЕННОГО WINDUPDATES.COM ЕСЛИ МНЕ ЕЩЕ НЕ ИСПОЛНИЛОСЬ 18 ЛЕТ.
    ...ваще, офигеть...

  20. #19
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Опасный SpyWare Spy.WinAd

    Цитата Сообщение от Cs
    Народ, сегодня зашел на windupdates.com с которого прет эта хрень.
    Я вообще офигел, когда туда попал. Мало того, что вирус там выставлен как какая-нибудь мирная программка для легкого качания баннеров, там еще и лицензионное соглашение прочитать требуют...)))))).
    А если еще его прочесть....
    Там написано, что ВИРУС ЗАЩИЩЕН АВТОРСКИМИ ПРАВАМИ :, и ещё,
    что Я НЕ ИМЕЮ ПРАВА КОПИРОВАТЬ, РАСПРОСТРАНЯТЬ, УСТАНАВЛИВАТЬ WIN AD TOOLS БЕЗ СОГЛАСИЯ, И ИСПОЛЬЗОВАТЬ ВСЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ГАВЕННОГО WINDUPDATES.COM ЕСЛИ МНЕ ЕЩЕ НЕ ИСПОЛНИЛОСЬ 18 ЛЕТ.
    ...ваще, офигеть...
    Это нормально
    Причем чем погаей шпион, тем объемнее у него пользовательское и лицензионное соглашение ...

  21. #20
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.10.2004
    Адрес
    Смоленск
    Сообщений
    6,241
    Вес репутации
    3412

    Re:Опасный SpyWare Spy.WinAd

    Ну вот, Gesser поймал и прислал мне новый тип WinAd (в базы AVZ он попал как Spy.WinAd.e). На сей раз файлы называются WinAdCtl.exe (25088 байт) и WinAdShift.dll (60416 байт), оба сжаты UPX. Сайт источник прежний - http://www.windupdates.com/. В ходе работы он создает файлик в ide21201.vxd в папке System, он хранится в хвосте WinAdCtl.exe. Стартует WinAd типично - ключ автозагрузки в реестре.
    Как и ранее, WinAd неравнодушен к autoexec.nt ...

Страница 1 из 4 1234 Последняя

Похожие темы

  1. опасный сайт
    От borona в разделе Спам и мошенничество в сети
    Ответов: 6
    Последнее сообщение: 03.06.2011, 06:35
  2. опасный вирус win 32
    От Нюта в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 24.04.2009, 10:23
  3. Подозрения на опасный руткит
    От moskalionov в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 22.02.2009, 03:03
  4. Опасный вирус?
    От галяяя в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 16.01.2008, 20:51
  5. Admilli Service - новое поколение Spy.WinAd
    От Зайцев Олег в разделе Описания вредоносных программ
    Ответов: 9
    Последнее сообщение: 16.02.2005, 22:20

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00184 seconds with 17 queries